DesignSpark Electrical Logolinkedin
Menu Search
Ask a Question

Pourquoi et comment sécuriser l'IoT ?

 

Aujourd’hui des millions d’appareils sont connectés à internet. C’est autant de points d’accès pour les actions malveillantes des hackers. En effet, le point faible de l’IoT est son manque de sécurité. Néanmoins des solutions et des pratiques s’organisent, poussées par les acteurs de l’industrie fortement attirés par les atouts de la technologie.

De plus, les besoins de cyber-sécurité, récemment mis en exergue et la mise en application du RGPD (le 25 mai 2018) accentuent le besoin de protéger les différentes couches matérielles et logicielles mais également la communication entre les objets IoT.

Pour sécuriser une application IoT, il est important d’avoir une vision globale car les hackers sont prêts à tout pour s'introduire dans les systèmes et ce quelle que soit la manière. Les tentatives d'intrusion peuvent survenir au niveau des différentes couches, logicielles, matérielles et de communication.

Couche matérielle

Les plateformes de développement extrêmement flexibles offrent une haute accessibilité aux composants et utilisent des connectivités très répandues comme l’USB. Elles permettent également un débogage sur carte avec une interface JTAG.

Autant toutes ces capacités de connexion peuvent faciliter le développement d’une conception IoT autant elles rendent vulnérable la technologie aux attaques des hackers.

Alors pour éviter une intrusion physique, le concepteur doit porter toute son attention sur la réalisation de l’enveloppe du produit en supprimant tous les accès (physiques) aux composants internes.

Couche logicielle

Les objets connectés sont régis par des systèmes d’exploitation, des logiciels PC ou des applications smartphones qui offrent de nombreux point d’accès aux hackers.

Quelques mesures simples déjà employées pour protèger les systèmes informatiques peuvent contribuer à protéger l'IoT:

  • Toujours travailler avec les dernières versions de logiciels, systèmes d’exploitation, antivirus et pare feux.
  • Changer régulièrement les mots de passe
  • Changer les identifiants par défaut des plateformes de développement
  • Prévoir des mises à jour sécurisées des firmwares.

Couche de communication

La protection des communications entre objets ou objets et services hébergés doit passer par l'utilisation de mécanismes de cryptographie des messages et d’authentification des appareils utilisant des algorithmes comme les SHA (Secure Hash Algorithm), AES (Advanced Encryption Standard) et RSA (Rivest Shamir Adleman).

Les solutions de librairies cryptographiques purement logicielles pourraient être employées, mais la faible capacité de traitement des microcontrôleurs à faible consommation d’énergie ne permettent pas d'exécuter ces librairies.

La solution qui semble s’imposer consiste à intégrer au substrat silicium des microcontrôleurs les fonctions de cryptage et d’authentification. Microchip propose ce type de microcontrôleur avec sa série PICMZ, Texas Instrument avec la série MSP430, ou encore Cypress avec le PsoC 6.

Si les performances et fonctionnalités de ces microcontrôleurs ne conviennent pas, il est possible d’ajouter ces fonctions en périphérique d'un microcontrôleur plus adapté à l’application.

Exemple de circuits :

  • Circuit d’authentification CryptoAuthentication™ de ATMEL  ATSHA204A : calcul de codes de hachage NIST SHA-256
  • Mémoire de stockage pour les clés d’authentification et les données confidentielles de chez Atmel  ATAES132 : stockage sécurisé de clefs 128 bits, génération de nombres aléatoires.

Conclusion :

Malgré son développement considérable et ses millions d’objets connectés, l’IoT doit impérativement fournir une protection irréprochable pour accroître son champ d'application et pouvoir intégrer le monde de l’industrie et des transports qui requièrent une sécurité sans faille.

Les concepteurs IoT ont pris conscience que la sécurité d’un système IoT doit être pensé de bout en bout, du projet jusqu’à son déploiement final. La transformation est en marche, les bonnes pratiques s'infusent et les méthodologies s’installent, avec notamment une évaluation des riques avec la modélisation des menaces, la mise en place d’une surveillance du transit des données supportée par de l’intelligence artificielle ou encore le développement de mises à jour sécurisées des appareils par chiffrement.

La machine est lancée et la sécurité fait désormais partie intégrante d’un développement IoT.

 

 

 

 

nicolas.brunet has not written a bio yet…

17 Apr 2018, 13:34